用戶:Hamham/個人信息保護法(日本)
| 關於個人信息保護的法律 | |
|---|---|
 日本法律 | |
| 通稱、簡稱 | 個人信息保護法 |
| 編號 | 平成15年5月30日法律第57號 |
| 種類 | 經濟法 |
| 效力 | 現行法 |
| 成立 | 2003年 |
| 內容 | 總則 國及び地方公共団體の責務等 個人情報の保護に関する施策等 個人情報取扱事業者の義務等 雑則 罰則 |
| 相關 | 不正當競爭防止法 個人信息保護法施行令等 |
| 鏈接 | 個人情報の保護に関する法律.e-Gov法令検索 |
關於個人信息保護的法律(日語:個人情報の保護に関する法律/こじんじょうほうのほごにかんするほうりつ、英語:Act on the Protection of Personal Information[1]),是日本頒佈的一部以保護個人信息為目的的法律[2]。一般簡稱為個人信息保護法。該法於2003年(平成15年)5月23日生效,其中除了第4-6章外,均立即施行。2年後的2005年(平成17年)4月1日起,該法全面施行。 根據該法及其施行令,無論處理信息的件數多少[注釈 1],將個人信息保存在個人信息數據庫中並用於經營的業者即為個人信息處理者。個人信息處理者若違反個人信息保護委員會的命令,或若該處理者的管理人員或職員為了自身或第三方的不法利益將經營中所處理的個人信息數據庫對外提供,則應當對該處理者處以刑罰。該法同時也規定了例外規定,在①基於法令等原因、②為了保護人的生命、健康或財產而有必要、③基於公眾衛生・兒童健康成長等原因而有必要、④為了配合國家公務等情形時,即使未取得本人同意,也可以將個人信息提供給第三方[3]。
概要
[編輯]背景
[編輯]個人情報保護法が制定された背景として以下の7つが挙げられる[4]:
- 情報化社會の進展とプライバシー問題の認識
- 個人情報保護法制定の世界的潮流
- OECD 理事會のプライバシー保護勧告
- 地方公共団體の個人情報保護條例の増加
- EU一般データ保護規則(歐州連合指令)[5]
- 電子商取引におけるプライバシー保護の要請
- 住民基本台帳法の改正による個人情報保護法制の要請
個人信息保護法與私隱權
[編輯]在本法中,並沒有出現「私隱權」這樣的表述,但實際上該法就是以保護私隱權為重要立法目的的。[6]
但另一方面,至於違反本法規定的行為是否直接構成「侵犯私隱權」,學者普遍的觀點是持否定說的。[7]
例如在形式上違反本法而對個人信息做了非法使用的情形下,也並不一定直接具有侵犯私隱權的違法性。[8]
反言之,(除了通過與其他信息結合分析從而可特定個人身份的情形)公開個人手機電話號碼的行為在一定情形下會被認定為侵犯私隱權。[8]
構成
[編輯]| 章 | 章內容 | 節 | 節內容 | 條數 |
|---|---|---|---|---|
| 第一章 | 總則 | 第一條-第三條 | ||
| 第二章 | 國家與地方公共團體的責任等 | 第四條-第六條 | ||
| 第三章 | 關於個人信息保護的政策等 | 第一節 | 關於個人信息保護的基本方針 | 第七條 |
| 第二節 | 國家政策 | 第八條-第十條 | ||
| 第三節 | 地方公共團體政策 | 第十一條-第十三條 | ||
| 第四節 | 國家與地方公共團體的合作 | 第十四條 | ||
| 第四章 | 個人信息處理者的義務等 | 第一節 | 個人信息處理者的義務 | 第十五條-第三十五條 |
| 第二節 | 匿名加工信息處理者等的義務 | 第三十六條-第三十九條 | ||
| 第三節 | 監督 | 第四十條-第四十六條 | ||
| 第四節 | 民間團體對個人信息保護的推進 | 第四十七條-第五十八條 | ||
| 第五章 | 個人信息保護委員會 | 第五十九條-第七十四條 | ||
| 第六章 | 雜則 | 第七十五條-第八十一條 | ||
| 第七章 | 罰則 | 第八十二條-第八十八條 | ||
| 附則 | ||||
定期修訂
[編輯]個人信息保護法規定,每經過三年應當對本法律進行必要的修訂:
與個人信息的保護相關的法律 附則(平成二七年九月九日法律第六五號)抄 第十二條3 除前項規定的事項外,政府在本法施行後每三年應當考察個人信息保護的國際動態、信息通信技術的發展以及隨之而來的利用個人信息的新產業的發展情況等,就新的個人信息保護法的實行狀況作出分析,在有必要時,根據研究結果採取必要的措施。
第一章 總則
[編輯]基本理念
[編輯]高度情報通信社會の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念および政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、國及び地方公共団體の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする(第1條)。 個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない(第3條)。
- 「私隱權」這一概念在本法中並未被明文提及。
- 本法目的不在於對個人信息的使用作出全面且具體的監管措施。
定義
[編輯]個人信息
[編輯]本法(第二條)中對個人信息的定義如下:
本法中所謂「個人信息」,指與生存中的個人相關的信息中符合下列各項條件者。一 該信息中包含的姓名、出生年月日及其他記載等(指通過文書、圖畫或電磁記錄(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二號において同じ。)で作られる記録をいう。第十八條第二項において同じ。)に記載され、若しくは記録され、又は音聲、動作その他の方法を用いて表された一切の事項(個人識別符號を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の信息と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符號が含まれるもの
— 個人信息保護法第二條第1項
上記二號の「個人識別符號」は、第二條の2で次のとおりに定義している:
2 この法律において「個人識別符號」とは、次の各號のいずれかに該當する文字、番號、記號その他の符號のうち、政令で定めるものをいう。一 特定の個人の身體の一部の特徴を電子計算機の用に供するために変換した文字、番號、記號その他の符號であって、當該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り當てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番號、記號その他の符號であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り當てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
— 個人信息保護法第二條第2項
與個人相關的信息
[編輯]上述的「與個人相關的信息」在本法中並未做具體的定義或舉例,但經濟產業省公佈的《關於個人信息保護相關的法律中以經濟產業領域為對象的指引》中,對個人信息保護法中的「與個人相關的信息」作了說明。
不僅限于姓名、性別、出生年月日等可以識別個人身份的信息,還包括個人的身體、財產、職業、頭銜等個人屬性,以及與事實、判斷、評價相關的所有信息。上述信息不分評價信息、公開出版物等已公開的信息或,通過圖像視頻或音頻等信息,也不論是否已採取加密措施進行保密處理(後略)。
— 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2
金融庁の『金融分野における個人情報保護に関するガイドライン』p1にもほぼ同様の記述があるが、最後の暗號に関する記述はない。 金融廳的指引也對「與個人相關的信息」作了如下說明:
「與個人相關的信息」如果通過與姓名等結合從而導致「可以識別特定個人身份」,則屬於「個人信息」。
— 金融分野における個人情報保護に関するガイドライン
逝者信息
[編輯]本法では個人情報を「生存する個人に関する情報」と限定している(第2條1項)。したがって、死者に関する情報は個人情報に含まれない。ただし前述の『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』には、以下の注意が述べられている:
死者に関する情報が、同時に、遺族等の生存する個人に関する情報でもある場合には、當該生存する個人に関する情報となる。
— 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2
『金融分野における個人情報保護に関するガイドライン』p1にも同一の記述がある。
外國人と法人
[編輯]「生存する個人」には日本國民に限られず、外國人も含まれるが、法人その他の団體は「個人」に該當しないため、法人等の団體そのものに関する情報は含まれない(ただし、役員、従業員等に関する情報は個人情報)。
— 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(pdf) p2
其他專業用語的定義
[編輯]- 個人信息數據庫等
- 個人信息數據庫等は、個人情報を含む、コンピュータ等で容易に検索できるデータベースや、目次や索引等によって體系的に整理された紙のデータベース等を指す(第2條2項)。コンピュータに入力して検索可能であるか、目次、索引などを有し検索が容易であることが要件であり、未整理の紙の情報等は該當しない。
- 個人データ
- 個人信息數據庫等を構成する個人情報は個人データと呼ばれる(第2條4項)。
- 保有個人データ(第2條5項)
- 個人情報取扱事業者が、開示、內容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データのことで、以下のもの以外。
- その存否が明らかになることにより公益その他の利益が害されるもの(施行令3條)
- 當該個人データの存否が明らかになることにより、本人または第三者の生命、身體または財産に危害が及ぶおそれがあるもの
- 當該個人データの存否が明らかになることにより、違法又は不當な行為を助長し、または誘発するおそれがあるもの
- 當該個人データの存否が明らかになることにより、國の安全が害されるおそれ、他國もしくは國際機関との信頼関係が損なわれるおそれまたは他國もしくは國際機関との交渉上不利益を被るおそれがあるもの
- 當該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
- 6か月以內に消去することとなるもの(施行令4條)。
- その存否が明らかになることにより公益その他の利益が害されるもの(施行令3條)
本法は主に個人データの取扱いに関して個人情報取扱事業者に義務を課している。すなわち、個人信息數據庫等に含まれる個人情報だけが、個人データとして法の直接の規制対象になる。個人信息數據庫等を構成するすべての情報が個人データになるわけではない。
後述の規制対象となる個人情報取扱事業者が扱う個人信息數據庫等に含まれない個人情報であって、店頭での呼出しアナウンスなどの音聲、メモ書き、人の記憶などのものには、この法律の規制は及ばない。
第二章 國家及地方公共團體的責任等
[編輯]國は、この法律の趣旨にのっとり、個人情報の適正な取扱いを確保するために必要な施策を総合的に策定し、及びこれを実施する責務を有する。地方公共団體は、この法律の趣旨にのっとり、その地方公共団體の區域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する(第4條、第5條)。
第三章 與個人信息保護相關的政策等
[編輯]國及び地方公共団體の責務・施策
[編輯]- 政府は、個人情報の保護に関する施策の総合的かつ一體的な推進を図るため、個人情報の保護に関する基本方針を定めなければならない。內閣総理大臣は、消費者委員會の意見を聴いて、基本方針の案を作成し、閣議決定を求めなければならない。閣議決定があったときは、遅滯なく、基本方針を公表しなければならない(第7條)。
- 國は、地方公共団體が策定し、又は実施する個人情報の保護に関する施策及び國民又は事業者等が個人情報の適正な取扱いの確保に関して行う活動を支援するため、情報の提供、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定その他の必要な措置を講ずるものとする(第8條)。地方公共団體は、その保有する個人情報の性質、當該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない(第11條)。
個人情報取扱事業者の対象
[編輯]個人情報等データベースを事業に用いる者であって、次の者を除く者を対象とする(第二條五項)[9]。
- 國、地方公共団體、獨立行政法人等および地方獨立行政法人
したがって、事業者には営利法人だけでなく非営利法人も該當するが、Template:要出典範囲(ただし、個人事業主等でこの定義に當てはまる者は當然、本法の対象となる)。
第四章 個人情報取扱事業者の義務等
[編輯]與OECD八項原則的對應關係
[編輯]| OECD八項原則 | 個人信息保護法(條文概括) |
|---|---|
| 限制收集原則 | 第十七條 不得通過虛假或其他不正當手段獲取個人信息。 |
| 數據質量原則 | 第十九條 應當確保個人信息內容準確且保持最新。 |
| 目的明確化原則
限制利用原則 |
第十五條 應當儘可能限定利用的目的。
第十六條 處理個人信息時,不得超出為達到利用目的而必要的範圍。 第二十三條 未事先取得本人同意,不得將個人信息披露給第三方。 |
| 安全保護原則 | 第二十條 為了安全管理個人信息,應當採取必要且妥當的措施。
第二十一條・第二十二條 應當對職員和外包單位採取必要且妥當的監管,以確保個人信息的安全管理得以實現。 |
| 開放原則
個人參加原則 |
第十八條 獲取個人信息時,應當立即將利用目的通知本人或進行公示。
第二十七條 應當保證本人隨時可以獲知個人信息的利用目的等。 第二十八條 本人有權要求披露被識別身份的個人數據。 第二十九條 本人有權要求對持有的個人數據進行內容修正、追加或刪除。 第三十條 本人有權要求對持有的個人數據停止利用或刪除清空。 |
| 問責原則 | 第三十五條 應當儘可能妥善並快速處理對個人信息的處理所提出的投訴或糾紛。 |
個人情報取扱事業者の主な義務
[編輯]個人情報保護法第4章第1節に個人情報取扱事業者の義務が記されている。
關於個人信息
[編輯]- 利用目的的特定化(第15條)
- 利用目的的限制(第16條)
- 合法獲取(第17條)
- 獲取時對利用目的的告知(第18條)
- 投訴處理(第31條)
個人データについては、データ內容の正確性の確保(第19條)、安全管理措置や従業者・委託先の監督(第20條〜第22條)、第三者提供の制限(第23條)が定められている。
保有個人データについては、事項の公表等(第24條)、開示(25條)、訂正等(第26條)、利用停止等(第27條)が規定されている。
事項の公表、開示、訂正、利用停止の規定により、本人から求められた措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合は、本人に対し、その理由を説明するよう努めなければならない(第28條)。
第三者提供の制限
[編輯]個人情報取扱事業者は、以下の場合を除いては、あらかじめ本人の同意を得なければ、個人データを第三者に提供してはならない(第23條)。
- 法令に基づく場合。(例:國勢調査などの統計調査等)
- 人の生命、身體又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。(例:事故の際の安否情報など)
- 公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。(例:児童虐待情報など)
- 國の機関若しくは地方公共団體又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があって、本人の同意を得ることにより當該事務の遂行に支障を及ぼすおそれがあるとき。(例:犯罪捜査の協力など)
ただし、必ずしも本人の同意を得なくとも、以下の場合は第三者への提供ができるものと規定されている。
- 第三者に提供される個人データについて、本人の求めに応じて當該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次の4點についてあらかじめ本人に通知し、又は本人が容易に知り得る狀態に置いているときは、前項の規定にかかわらず、當該個人データを第三者に提供することができる(第23條第2項)。
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段又は方法
- 本人の求めに応じて當該本人が識別される個人データの第三者への提供を停止すること
また、個人情報取扱事業者と実質的に同一とみなしうる事業者が共同で利用する場合、または共同利用もしくは業務委託として一定の要件を満たした場合は、第三者とみなされない規定がある。すなわち、これらの場合は、本人の同意を得る必要がない[注釈 2]。
事項の公表等
[編輯]個人情報取扱事業者は、本人から、當該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滯なく、これを通知しなければならない(第24條2項)。この場合は、手數料を徴収できる(第30條)。
開示請求
[編輯]個人情報取扱事業者は、本人から保有個人データの開示を求められたときは、以下のいずれかに該當する時を除いては、遅滯なく開示しなければならない。ただし、6か月以內で消去することが予定されている情報(第2條5項、個人情報保護法施行令第4條)や情報の存否を明らかにすることによって公益等が害される情報は除かれる(第25條)。この場合は、手數料を徴収することができる(第30條)。
- 本人又は第三者の生命、身體、財産その他の権利利益を害するおそれがある場合
- 當該個人情報保護取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
醫療機関等に訴訟外で、醫療の診療録等を開示や、信用情報の個人情報開示請求する例が考えられる。
修改請求權
[編輯]個人情報取扱事業者は、本人から、保有個人データの內容が事実でないという理由によって當該個人データの內容の訂正、追加又は削除を求められた場合は、利用目的の達成に必要な範囲內において、遅滯なく必要な調査を行い、その結果に基づき、保有個人データ等の訂正を行わなければならない(第26條)。
停止使用請求權
[編輯]個人情報取扱事業者は、本人から、個人情報の目的外の利用を行っていること、個人情報を不正に取得したことを理由として、保有個人情報データの利用停止または消去を求められた場合であって、その求めに理由があると認められるときは、違反を是正する限度で、利用停止等を行わなければならない。ただし、利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない(第27條1項)。
主務大臣による報告徴収等
[編輯]主務大臣は、個人情報取扱事業者の義務の規定の施行に必要な限度において、個人情報取扱事業者に関し、個人情報の取扱いについて報告を求め(第32條)、助言することができる(第33條)。
主務大臣は、個人情報取扱事業者が本法の規定(ただし開示請求等は除く)に違反していて個人の権利利益を保護するために措置をとる必要があると認めるときは、勧告することができる(第34條)。
主務大臣は、個人情報取扱事業者が正當な理由なく勧告に従わないときにはその勧告に係る措置をとるべきことを命ずることができ(第34條2項)、それに従わないときは、當該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる(第34條3項)。
命令に違反すると6か月以下の懲役または30萬円以下の罰金に処せられることがある(56條)。
適用除外
[編輯]個人情報取扱事業者が、マスコミ・著述業関係、大學等、宗教団體や政治団體であり、それぞれ、報道・著述、學術研究、宗教活動、政治活動の目的で個人情報を利用する場合は、個人情報取扱事業者の義務の適用を受けない(第76條1項)。これは、主務大臣の報告徴収等を通じて表現の自由等を制約するおそれがあるという強い反対論に基づいて設けられた規定である。これらの者については、個人情報保護のために必要な措置を自ら講じ、內容を公表する努力義務が課せられる(第76條3項)。
さらに主務大臣は、一般の個人情報取扱事業者がマスコミ・著述業関係、大學等、宗教団體や政治団體に対して、上述の目的に利用するために個人情報を提供する場合には、報告徴収や命令等の権限を行使しないものとしている(個人情報保護法そのものの適用除外を意味するものではない)。
なお、これらの職にある者が、正當な理由がない場合に、業務上の取扱いによって知り得た秘密を漏らしたときは、刑法134條2項の秘密漏示罪が成立することがある。個人情報取扱事業者の義務の除外と刑法上の責任の免除とは別である點に留意する必要がある。
認定個人情報保護団體
[編輯]個人情報に関する苦情処理や事業者への情報提供等の業務を行おうとする法人(権利能力なき社団も含む)は、主務大臣の認定を受けて認定個人情報保護団體となることができる(第37條)。
認定個人情報保護団體でない者は、認定個人情報保護団體という名稱又はこれに紛らわしい名稱を用いてはならない(第45條)。違反した者は、10萬円以下の過料に処せられる(第59條)。
認定個人情報保護団體は、その認定業務を廃止しようとするときは、あらかじめ、その旨を主務大臣に屆け出なければならない(40條)。 屆出をせず、又は虛偽の屆出をした者は、10萬円以下の過料に処せられる(第59條)。
主務大臣は、規定の施行に必要な限度において、認定個人情報保護団體に対し、認定業務に関し報告をさせることができる(第46條)。 報告をせず、又は虛偽の報告をした者は、30萬円以下の罰金に処せられる(第57條)。
第五章 個人情報保護委員會
[編輯]2015年改正によるビッグデータ解禁
[編輯]平成27年度改正
[編輯]2015年(平成27年)に開催された通常國會(第189回國會)において、同年9月3日に衆院本會議で「改正個人情報保護法」が與黨や民主黨などの賛成多數で可決、成立[11][12]。蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した[11][12]。
- 取り扱う個人情報の數が5000件以下の「小規模取扱事業者」も法律適用の対象となり、「件數要件」が撤廃となった[13] 。
- 「利用目的の明示」、「第三者提供の際の本人同意」といった個人情報を活用するにあたっての義務が細かく定められた[13]。
- 個人情報を復元できないよう「匿名加工情報」にするなど、一定の條件を満たすことで第三者に提供することも可能になるとされた[13]。
法律への誤解・拡大解釈
[編輯]Template:複數の問題 第三者提供の際には本人同意が必要とされているが、例外規定が存在し、①法令に基づく場合、②人の生命、身 體又は財産の保護に必要な場合、③公衆衛生・児童の健全育成に特に必要芯場合、④國等に協力する場合には、本人の同意がなくとも個人情報の第三者提供が許可されている[3]。
過剰反応や拡大解釈
この法律については、誤解や過剰反応に基づいた問題が発生している。「個人の権益を守りながらも、必要に応じて個人情報を有効活用する」という法律の基本理念を逸脫した拡大解釈が見られる。例として、回答拒否者には罰則規定もある國勢調査のような基幹統計調査の拒否の理由にも使えると誤解した人々が増加して回答率が下がる、學校の緊急連絡網が作れない、災害時要援護者リストの作成遅延など國民生活に支障をきたしている[14]。
実際には、法律上、主務官庁の、個人情報取扱事業者に対する監督がなされるだけで、一般國民に対する直接の規制はない。事業者による個人情報漏洩[注釈 3]それ自體に対する直接の罰則はない。個人情報取扱事業者の主務官庁による中止・是正措置の勧告がなされ、従わない場合または要求された報告をしない場合には罰則が課される。個人情報漏洩を原因とした損害[注釈 4]が発生した場合は、民事上の責任を問われる。
人の生命、身體又は財産の保護のために必要がある場合
災害や大規模な事故などが発生した際の安否情報も、第23條第1項第2號の「人の生命、身體又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」に該當するので、この法律の規制は及ばないと解釈される。しかし、次のようなことがあった。
- JR寶塚線(福知山線)の脫線事故では、家族からの安否確認に回答するかどうかで醫療現場で混亂が生じ話題となった。
- 新潟県中越沖地震では、同県柏崎市が個人情報保護法の施行を理由に、「要援護者」の名簿を地元自治會や消防にあらかじめ提供していなかったことが分かった。4人の死亡者が名簿に掲載されており、「あらかじめ知らされていれば対応ができたのでは」との疑問の聲が出た。自治體が保有する要援護者名簿が町內會に共有されていれば、地震の死者を減らせた可能性がある[15][16]。
- 「學級連絡網・卒業アルバムが作れない」、「醫療機関への個人情報の提供を拒む」、「企業の社員住所録が作成されなくなる」などの事態も起きている[注釈 5]。
內閣府ではこういった過剰反応や誤解に対し、個人情報保護法に牴觸しない例を出すこととなった[17]。
オプトアウト関連
「オプトアウト」を定める第23條2項の趣旨は「利用停止を求めれば、第三者提供は停止される」というものであり、「本人に通知する」ことの代替として「本人が容易に知り得る狀態に置く」ことを容認している。
成立の経緯
[編輯]汎用コンピュータの処理能力が向上したことにより、行政・民間が保有する膨大な個人情報を容易に処理することが可能となった結果、そういった個人情報データベース等からの個人情報漏洩によるプライバシー侵害への危険性、不安が増大していった。また、行政部外者による、行政機関に所屬する公務員の個人情報取得およびその不適切な使用によって政策決定等への障礙可能性が公平性の観點から危懼されるようになった。1980年(昭和55年)にはOECD理事會で「プライバシー保護と個人データの國際流通についてのガイドラインに関する勧告」[18]が採択されるなど、國際的にも個人情報の取扱いや積極的プライバシー権の保護が次第に重要視されるようになった。
日本では、 1988年(昭和63年)に、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公佈された。 1989年(平成元年)には、民間部門に対して通商産業省(現:経済産業省)が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定した。
しかし「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」には罰則規定がなく、また民間部門を対象としたガイドラインには法的拘束力がないなど、個人情報の保護という観點から十分に機能しているとは言いがたい狀況であった。
さらに住民基本台帳ネットワークの稼動(2002年(平成14年))、中川秀直愛人スキャンダル事件(2000年(平成12年))、Yahoo! BB顧客情報漏洩事件(2004年(平成16年))、TBC個人情報漏洩事件(2002年(平成14年))など多発する個人情報漏洩事件を受けて、2002年(平成14年)に個人情報保護法関連五法が國會に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めているために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年(平成15年)5月に成立した。
企業への準備期間として、法律成立から施行までに2年間の準備期間が設けられた。個人情報保護法が施行される直前の2005年(平成17年)3月には、これまで起きていながら隠蔽していた個人情報漏洩事件を公表する企業が多くあった。探偵を安易に多用し、採用時以外においても、必要以上の個人情報を積極的に取得する等、個人情報保護に関する感覚が希薄だった、従來の日本の企業習慣に対する法規制となった。
相關的國際標準
[編輯]1980年にOECD理事會で採択された「プライバシー保護と個人データの國際流通についてのガイドラインに関する勧告」には収集制限の原則、利用制限の原則などの「OECD8原則」が含まれる。
1995年、EUが「個人データ処理に係る個人情報保護及び當該データの自由な移動に関する歐州議會及び理事會の指令」(通稱:EU指令)を採択し、EU加盟國以外への個人情報の移転は、當該國が十分なレベルの保護措置を講じている場合に限られるとした。EU指令によって顧客データの授受をはじめとする様々な経済活動に影響が出ることが懸念されたので、1998年(平成10年)に「プライバシーマーク制度」が設立された。Template:要出典範囲
他に國際標準としては、個人情報を取り扱う主體を分類し、その間の関係性を整理するとともに、それぞれがどのようにして個人情報を取り扱うべきであるかという11のプライバシー原則を示したISO/IEC 29100 Privacy Framework および、実裝時のアーキテクチャの枠組みを示した ISO/IEC 29101 Privacy Architecture Framework が存在する。さらに、プライバシー影響評価(PIA)の方法論をまとめた ISO/IEC 29134 Privacy Impact Assessment Methodology も現在作成中である。
また、個人情報の安全管理処置としては、情報セキュリティマネジメントシステム(ISMS)が満たすべき要件を定めた國際規格ISO/IEC 27001もある。この國際規格の認証は、「個人情報漏洩に対する企業の対策」や「個人情報漏洩後の企業の対策」の資料や手順書を企業が作成および周知し、社員が認識し実行しているかどうかを調べて認定される。取得にはおよそ1年以上の時間を要する。
法律に関わる事務
[編輯]法律に関わる事務全般は、個人情報保護委員會によって行われている。これは、平成28年1月1日に効力を発した「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番號の利用等に関する法律の一部を改正する法律」(平成27年法律第65號)の一部施行による影響である。
2000個問題
[編輯]個人情報保護法には個人情報保護の基本理念、國及び地方公共団體の責務等が規定されているものの、具體的な義務が書かれているのは事業者のみで、國の行政機関、獨立行政法人、地方公共団體等の義務については記載がなく[19]、それぞれ「行政機関個人情報保護法」、「獨立行政法人個人情報保護法」、「個人情報保護條例」が規律している[20]。また事業者に対しても義務を守るための指針は個人情報保護法には規定されておらず、「個人情報委員會ガイドライン」、「事業分野ガイドライン」、「個人情報保護指針」で規定している[19]。
こうした事情から
「民間事業者」+「國の行政機関」+「獨法」+「自治體(都道府県47、市區町村1750、広域連合等115)」[19]
で日本國內におよそ2000個の條例等があるかなり煩雑な狀態になっており、これを2000個問題という[19]。2000個問題により、下記のような弊害が生じる:
- そもそも條例未制定の地方公共団體の存在[19]
- 個人情報の利活用の格差[20]や自治體ごとの個人情報に対する知識の格差[20]
- 條例ごとの解釈や手続の差異による自治體間連攜の妨げ[19][20]
- 官民で異なる規律なので監督官庁がはっきりしないものが存在[20]
醫療情報のような機微な情報でもこのような弊害が指摘されており[19][20]、実際東日本大震災の際、「民間支援団體に提供して支援や安否確認を実施した自治體は、2自治體しかない」[20]といった弊害が起こった。その後災害対策基本法の改正により「「避難行動要支援者名簿」の作成義務と、自治體と支援団體間での事前情報共有を促す條項が設けられた」ものの、平常時から個人情報を官民で共有するにはハードルが高いという現狀が2016年現在ある[20]。
腳註
[編輯]注釈
[編輯]- ^ 在平成29年5月30日以前,處理不足5,000條個人信息的單位或個人不受本法規制
- ^ この規定はメガバンクが相當な広範囲で個人情報を利用するという問題をはらんでいる。 第4回個人情報保護検討部會議事要旨 1999年9月7日
- ^ ここでは、個人情報取扱事業者が、個人データの漏洩防止等のための安全管理措置義務(第20條)を怠って個人データを漏洩した場合をいう。
- ^ 通常は、個人情報取扱事業者が安全管理措置義務(第20條)を怠って個人データを漏洩し、もって當該データの個人情報が第三者に知られる可能性が生じた時點で、本人の精神的損害(慰謝料)は少なくとも認められうる。
- ^ この法律の規制が及ばないというわけではない。場合によっては、組織外への第三者への無斷提供や、漏洩防止等のための安全管理措置義務は、規制の対象になりうる。本人の同意が必要になる場合があり、全員が同意しなかった場合に、「本人が同意しなかったという個人情報」自體が組織內で共有されてしまうとして、最初から作成しないということも起こり得る。
出典
[編輯]- ^ 個人情報の保護に関する法律 [Act on the Protection of Personal Information]. 日本法令外國語訳データベースシステム. 法務省. [2023-01-19].
- ^ 統計調査と個人情報保護 総務省
- ^ 3.0 3.1 https://www.ppc.go.jp/files/pdf/personal_pamph27_caa.pdf
- ^ 基本的人権の保障に関する調査小委員會. 衆憲資第28号 知る権利・アクセス権とプライバシー権に関する基礎的資料―情報公開法制・個人情報保護法制を含む―(平成15年5月15日の参考資料) (PDF). 衆議院: 77–78. 2003 [2016年8月31日].
- ^ 歐州議會. 個人データ処理に係る個人の保護及び当該データの自由な移動に関する指令 (PDF). 1995 [2016-09-26].
- ^ 石井, 曽我部 & 森 2021,第6頁.
- ^ 松尾 2017,第244頁.
- ^ 8.0 8.1 松尾 2017,第245頁.
- ^ 個人情報の保護に関する法律(平成十五年法律第五十七号)第二条五項. e-Gov法令検索. 総務省行政管理局. 2018-7-27 [2020-1-14].
2020年1月7日施行分
- ^ 中間整理 p.6.
- ^ 11.0 11.1 改正マイナンバー法成立=18年から預金口座に適用-年金との連結は延期. 時事通信社. 2015-09-03 [2015-09-04].
- ^ 12.0 12.1 改正マイナンバー法成立=2018年から預金口座に適用-年金との連結は延期. 産経新聞. 2015-09-03 [2015-09-04].
- ^ 13.0 13.1 13.2 河鐘基. ビッグデータの利活用、日本企業は「匿名化」問題を超えられるか. Forbes Japan. 2017-10-19 [2017-10-30].
- ^ 統計調査と個人情報保護. 総務省統計局. [2022/7/23].
- ^ 新潟県中越沖地震 「要援護者情報」伝わらず(産経新聞 7月19日13時30分配信)
- ^ 中越沖地震が教える過剰反応対策の必要性
- ^ 內閣府國民生活局個人情報保護推進室「個人情報保護法に関するよくある疑問と回答」[失效連結]
- ^ OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
- ^ 19.0 19.1 19.2 19.3 19.4 19.5 19.6 個人情報保護法制2000個問題について (pdf). 內閣府: 2–3. 2016年11月 [2020/06/23].
- ^ 20.0 20.1 20.2 20.3 20.4 20.5 20.6 20.7 岡本正(銀座パートナーズ法律事務所 弁護士・法學博士). 個人情報保護法制「2000個問題」って何?「自治体個人情報保護法」による解決を目指す. Yahoo Japan. 2015/5/13 [2020/06/23].
參考文獻
[編輯]- 石井夏生利; 曽我部真裕; 森亮二, 個人情報保護法コンメンタール, 勁草書房, 2021年3月
- 松尾 剛行, 最新判例にみるインターネット上のプライバシー・個人情報保護の理論と実務, 勁草書房, 2017年7月
- 岡村久道. 個人情報保護法の知識. 日経文庫. 2010. ISBN 4532112095.
個人情報保護法の「いわゆる3年毎の見直し」関連の資料
[編輯]- 2020年度
- 個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理 (pdf). 個人情報保護委員會. 平成31年4月25日 [2019/09/06].
- 「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について. 個人情報保護委員會. 2020年3月20日 [2020/06/24].
関連項目
[編輯]
- 個人信息保護法相關五法
- 與個人信息的保護相關的法律 - 保護民間個人信息的基礎性法規
- 與行政機關持有的個人信息的保護相關的法律
- 與獨立行政法人持有的個人信息的保護相關的法律
- 信息公開·個人信息保護審查會設置法
- 與行政機關持有的個人信息保護法的施行所附隨的完善相關法律的法律
- 特定個人信息保護評價
- 企業合規
- 居民基本台賬網絡
- 表達自由 - 新聞自由 - 言論自由
- 私隱權 - 私隱權政策 - 私隱權標誌(JIS Q 15001)
- 名簿業者
- 媒體規制三法
外部連結
[編輯]- 個人情報の保護に関する法律(平成十五年法律第五十七號).e-Gov法令検索. 総務省行政管理局
- 個人情報の保護に関する法律施行令(平成十五年政令第五百七號).e-Gov法令検索. 総務省行政管理局
- 個人情報の保護に関する法律 - 首相官邸
- 個人情報保護法について(個人情報保護委員會)
- 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省)
- 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン等に関するQ&A(経済産業省)
- プライバシーマーク制度(一般財団法人日本情報経済社會推進協會)